Nach mehr als vier Jahren hat das Europäische Parlament am Donnerstag die endgültige Fassung der EU-Datenschutz-Grundverordnung (EU-DSGVO) verabschiedet. Ziel ist es, mit diesem Regelwerk die aus dem Jahr 1995 stammende Datenschutzrichtlinie der EU zu aktualisieren, um sie besser auf aktuelle Technologien abzustimmen. Deutliche Veränderungen der neuen Verordnung sind die härteren Strafen für Unternehmen, die gegen das EU-Datenschutzrecht verstossen, und die mit Geldbussen in Höhe von bis zu vier Prozent ihres weltweiten Umsatzes belegt werden sollen.
Zudem müssen Unternehmen Datenschutzverletzungen innerhalb von 72 Stunden für die Betroffenen offenlegen. Verabschiedet werden soll die neue EU-DSGVO noch im April 2016, Anwendung finden allerdings erst Mitte 2018.
Roland Messmer, Director Central Emea (Europa, Mittlerer Osten, Afrika) bei Logrhythm, sieht die EU auf dem richtigen Weg und die Unternehmen in den EU-Ländern in der Pflicht: "Obwohl es jetzt nochmals zwei Jahre dauert, bis die neuen Gesetze greifen, stellt dies einen grossen Schritt vorwärts im Kampf gegen die Cyberkriminalität dar. Denn ich bin davon überzeugt, dass die neue Verordnung viel Positives bewirken wird. So müssen Unternehmen einen Datenschutzbeauftragten ernennen, wenn sie sensible Daten in grossem Umfang verarbeiten. Auch wird die Haftung bei Datenschutzverletzungen auf Auftragsdatenverarbeiter ausgeweitet. Beides sind logische Schritte, zumindest für die Unternehmen, die es mit ihren Aktivitäten in Sachen Cyber- und Datensicherheit wirklich ernst meinen. Was meines Erachtens jedoch am meisten Wirkung zeigen wird, ist die Gefahr für Unternehmen, die das Thema digitale Sicherheit vernachlässigen, sich mit hohen Geldstrafen und einer Veröffentlichungspflicht innerhalb von drei Tagen nach einem Vorfall konfrontiert zu sehen. Um dies zu vermeiden, müssen Unternehmen entsprechende Massnahmen ergreifen, die sicherstellen, dass alle Netzwerkaktivitäten jederzeit voll unter Kontrolle sind. Denn ohne solch eine allumfassende Übersicht ist nahezu unmöglich, innerhalb von 72 Stunden einen Angriff zu erkennen, zu analysieren und abzuwehren.
Daher wird diese neue Verordnung nicht ganz zu Unrecht als grösster Umbruch bei den EU-Datenschutzgesetzen seit 20 Jahren bezeichnet. Denn sie macht klar: Unternehmen, die das Thema IT-Security weiterhin ignorieren, werden künftig an den Konsequenzen schwer zu tragen haben."
